0

私のログイン方法では、次のコードを使用してユーザーにログインしました。

FormsAuthentication.SetAuthCookie(model.UserName, model.RememberMe);

必要なときに常にデータベースの呼び出しやその他のデータを避けたかったのでUserId、何かを作成しましたが、それが正しく行われたかどうかはよくわかりません。
だから私は誰かが私のコードをチェックする必要がある理由です、それは安全で愚かではありません:)
私はこれを行うことでいくつかのルールを破っていますか?
メンバーシップ/ロールを使用しなくなったため、これはサイトセキュリティのフェーズの最終段階です。

だから私は上記のSetAuth...コードを次のように変更しました:

CustomPrincipalSerializeModel serializeModel = new CustomPrincipalSerializeModel();
                    var usr = userRepository.GetUser(model.UserName);

                    serializeModel.UserId = usr.UserId;
                    serializeModel.Username = usr.UserName;

                    JavaScriptSerializer serializer = new JavaScriptSerializer();

                    string userData = serializer.Serialize(serializeModel);

                    FormsAuthenticationTicket authTicket = new FormsAuthenticationTicket(
                             1,
                             usr.UserName,
                             DateTime.Now,
                             DateTime.Now.AddMinutes(30),
                             model.RememberMe,
                             userData);

                    string encTicket = FormsAuthentication.Encrypt(authTicket);
                    HttpCookie faCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encTicket);
                    Response.Cookies.Add(faCookie);

私のGlobal.asaxに追加しました:

protected void Application_PostAuthenticateRequest(Object sender, EventArgs e)
        {
            HttpCookie authCookie = Request.Cookies[FormsAuthentication.FormsCookieName];

            if (authCookie != null)
            {
                FormsAuthenticationTicket authTicket = FormsAuthentication.Decrypt(authCookie.Value);

                JavaScriptSerializer serializer = new JavaScriptSerializer();

                CustomPrincipalSerializeModel serializeModel = serializer.Deserialize<CustomPrincipalSerializeModel>(authTicket.UserData);

                CustomPrincipal newUser = new CustomPrincipal(authTicket.Name);
                newUser.UserId = serializeModel.UserId;
                newUser.Username = serializeModel.Username;
                newUser.FirstName = serializeModel.FirstName;
                newUser.LastName = serializeModel.LastName;

                HttpContext.Current.User = newUser;
            }
        }

カスタムプリンシパルコード-質問の主な目的にとっておそらく重要ではありません:

public interface ICustomPrincipal : IPrincipal
    {
        int UserId { get; set; }
        string Username { get; set; }
        string FirstName { get; set; }
        string LastName { get; set; }        
    }
public class CustomPrincipal : ICustomPrincipal
    {
        public IIdentity Identity { get; private set; }
        public bool IsInRole(string role) { return false; }

        public CustomPrincipal(string email)
        {
            this.Identity = new GenericIdentity(email);
        }

        public int UserId { get; set; }
        public string Username { get; set; }
        public string FirstName { get; set; }
        public string LastName { get; set; }
    }
public class CustomPrincipalSerializeModel
    {
        public int UserId { get; set; }
        public string FirstName { get; set; }
        public string LastName { get; set; }
        public string Username { get; set; }
    }
4

1 に答える 1

1

私が見ることができるコードの最初の問題は、web.configのフォーム認証設定(タイムアウト、ドメイン、パス、requireSSLなど)を使用して、フォーム認証チケットとCookieにこれらの値を設定する必要があることです。現在、これらの値をハードコーディングしています。たとえば、チケットの30分のタイムアウトをハードコーディングしました。これは、Cookieの有効期間についてweb.configで設定されたタイムアウトとは異なる場合があります。デフォルトは20分です。ただし、web.configでこの値を変更して増やすと、Cookieはフォーム認証チケットよりも長く存続します。結果として、ユーザーは、指定したタイムアウト後ではなく、常に30分後にログアウトされます。

Application_PostAuthenticateRequestまた、グローバルイベントを使用する代わりに、カスタムのAuthorize属性を使用して、フォーム認証チケットを解析し、プリンシパルを設定します。最初はそれを達成するためのよりMVCishな方法です。ただし、これは単なる推奨事項であり、セキュリティや動作の観点からは問題ありません。

于 2013-02-23T17:21:02.243 に答える